Nuestros lectores nos han llamado la atención sobre un tuit publicado por la Guardia Civil hace semana y media, en el que nos recomienda fijarnos en tres factores fundamentales, a su modo de ver, a la hora de "detectar una web de venta falsa". Se preguntan nuestros lectores si de verdad fijarnos en estas cosas resulta útil o no.
Veamos que habría que verificar, según el tuit:
- Si el navegador tiene o no tiene certificado de seguridad, porque las webs falsas carecen del mismo.
- Si el logo y las imágenes son o no de calidad, porque los de las imágenes reales superan siempre a los de las falsas.
- Si el pie de la web contiene o no información de la empresa, sellos de confianza o certificados, porque las webs fraudulentas carecen de ellos.
El tuit en sí no es más que un resumen de un artículo publicado por el INCIBE (y que la Guardia Civil también enlaza); pero estamos hablando de un artículo de 2018. En estos cinco años algunas cosas han cambiado… y alguno de esos consejos, en realidad, se había quedado ya algo atrasado en aquel entonces. Hagamos un repaso:
I. Los certificados
Existen (desde 2016) unos certificados —los de Let's Encrypt— 100% gratuitos y soportados por los principales proveedores de hosting web de Internet, o autoinstalables si usas alojamientos cloud o VPS. Es decir, es una herramienta fácil de usar y disponible para todos los ciberestafadores, a no ser que sean especialmente chapuceros (los hay así, es cierto).
Su inexistencia no indicará, en la mayoría de los casos, más que la web lleva varios años sin actualizarse.
Es la presencia de estos certificados lo que hace que las URLs empiecen por https:// en lugar de por http://. Sin embargo, la práctica totalidad de las webs de phishing utilizan https:// a estas alturas. Es por eso que carece de cualquier utilidad fijarse en ese detalle:
II. Logos / imágenes de calidad
A estas alturas, las webs falsas pueden tener logos e imágenes de calidad idéntica a las de las webs oficiales. De hecho, utilizamos el término 'idéntica' a propósito, porque en muchos casos usan literalmente las mismas imágenes alojadas en la web real o, como mínimo, una copia de las mismas.
Los que seguís nuestras publicaciones de timos habréis visto que, en varios casos, destacamos que las webs a las que remiten los e-mails/SMS de phishing reproducen fielmente el 'look' de las de los bancos e instituciones que pretenden suplantar (siendo, en algunos casos, idénticos).
III. El pie de página
El pie de página (o 'footer) de cualquier web también puede falsificarse sin mayor problema. Como las imágenes de cabecera, pueden también copiarse de la web original: es tan fácil como hacer Control+U, Control+C y Control+V. Si se quiere añadir verosimilitud, se pueden añadir secciones separadas como 'Términos de uso', 'Política de privacidad' o 'Contacto'…
…cuyos contenidos puede proporcionarte en segundos ChatGPT solicitando un modelo básico de esa clase de documentos. O bien puedes ir a lo fácil y enlazar a los de la página real, como hemos comprobado que ocurría en muchas webs de phishing en los últimos meses.
¿Entonces?
Entonces… todos esos elementos pueden ser un indicativo, efectivamente, si una web o no en fraudulenta, pero tal y como está expresado el tuit, parece dar a entender que son los tres aspectos principales a considerar, y que si supera esas tres pruebas podemos actuar con tranquilidad.
No es así: reflejan, a lo sumo, la realidad de las ciberestafas de hace media década o más… y actuar con base en esos consejos puede provocar una falsa sensación de seguridad que nos empuje a caer en una estafa.
La mejor forma de no caer en sitios web fraudulentos es llegar a ellos a través de un buscador (ojo, hablamos de los resultados orgánicos, no de los anuncios insertados en la página de resultados)…
…no se recomienda recurrir a enlaces recibidos mediante mensaje de móvil o correo, o encontrado en alguna red social. Esto es porque las webs de phishing tienden a durar poco tiempo online, por lo que no llegan a posicionarse en (y puede que ni a ser detectadas por) los buscadores.
Si el sitio web al que pretendes acceder es uno ya conocido, bastará con echar un vistazo a su URL (sabiendo, claro, que hay ciertos trucos que debemos tener en cuenta).
En Genbeta | Los correos de estafas suelen ser fácilmente identificables. Éste es tan real que da miedo
Ver 2 comentarios